DE 
NL 
EN 
Lassen Sie mich mit einer offenen Tür beginnen: Die Einrichtungen des Gesundheitswesens haben in erster Linie die Aufgabe, Pflege zu leisten. Wir alle wissen aber auch, dass sich die Versorgung in den letzten Jahren enorm verändert hat. Die Belastung durch Vorschriften ist für die Gesundheitseinrichtungen und die Fachkräfte enorm gestiegen. Etwas, das niemanden glücklich macht.
Im Mai 2018 startete die Regierung sogar ein Programm namens Pflege (de)regulieren. Um herauszufinden, ob die regulatorische Belastung tatsächlich abnimmt, werden die diesbezüglichen Erfahrungen bei Gesundheitsdienstleistern und Patienten gemessen. Im September 2019 wird der Minister den Saal über die Ergebnisse dieses Programms informieren. Darin schreibt er, dass die regulatorische Belastung etwas zurückgegangen ist, aber dass dies auch ein "schwieriges Thema" und ein mehrköpfiges Monster ist. Der Abbau von Vorschriften bringe noch nicht sofort die gewünschten Ergebnisse. Der Minister weist darauf hin, dass ein Anfang gemacht wurde und dass das Programm in der kommenden Zeit in allen Bereichen des Gesundheitswesens fortgesetzt werden wird.
Es stellt sich die Frage, ob die Einhaltung der NEN7510 unter diese Wahrnehmung der "regulatorischen Belastung" fällt. Die Antwort auf diese Frage lautet YES. Verwaltungsangestellte und Gesundheitsdienstleister empfinden die Informationssicherheit als Belastung und sehen sie sogar als Hindernis für ihre tägliche Arbeit. Das ist durchaus verständlich, denn kein Gesundheitsdienstleister wartet auf eine sinnlose Vorschrift zur Informationssicherheit. Es stellt sich jedoch die Frage, ob die Beherrschung der Informationssicherheit unter dieses Gefühl fallen sollte. Sollte sie nicht anders gesehen werden?
Das NEN7510 schreibt in der Nomenklatur dazu;
Die Aufrechterhaltung der Verfügbarkeit, Integrität und Vertraulichkeit (BIV) von Informationen ist das übergreifende Ziel der Informationssicherheit. Im Gesundheitswesen hängt die Privatsphäre der Kunden von der Wahrung der Vertraulichkeit persönlicher Gesundheitsinformationen ab. Um diese Vertraulichkeit zu gewährleisten, sollten auch Maßnahmen zur Wahrung der Datenintegrität getroffen werden.
Die Kundensicherheit hängt sogar von der Integrität der persönlichen Gesundheitsdaten ab; unrichtige Angaben kann zu Krankheiten, Verletzungen oder sogar zum Tod führen.
Ein hohes Maß an Verfügbarkeit ist auch eine Voraussetzung für eine gute Versorgung, bei der die Behandlungen oft zeitkritisch sind. Nicht verfügbare Informationen können zu sehr beunruhigenden Situationen führen.
Pflegekräfte sind mit Leib und Seele bei der Sache. Tatsache ist, dass sie alle auch eine intrinsische Motivation haben, um immer gute Pflege leisten. Vor diesem Hintergrund ist es seltsam, dass die Einhaltung der NEN7510 als regulatorischer Druck angesehen wird. Der Schutz von Patientendaten ist entscheidend für eine gute Pflege. Jeder Leistungserbringer im Gesundheitswesen empfindet es als ärgerlich, wenn die Privatsphäre des Patienten nicht geschützt ist, der Leistungserbringer nicht darauf vertrauen kann, dass die Informationen korrekt sind, oder das System nicht funktioniert und daher die Arbeit nicht erledigt werden kann. Die Sicherung von Informationen ist nicht nur eine Sache der IT. Natürlich müssen Sie als Gesundheitsdienstleister darauf vertrauen können, dass die IT-Mitarbeiter die Technologie im Griff haben. Leider ist das oft nicht der Fall.
Fakten 2019
Im Jahr 2019 wird die Behörde für personenbezogene Daten (AP) meldeten 26956 Datenschutzverletzungen. Die meisten Meldungen über Datenschutzverletzungen im Gesundheitswesen kamen von Krankenhäusern (25%), Apotheken (20%) und Stiftungen, die Bevölkerungsforschung betreiben (9%). Bemerkenswert ist auch, dass 67% der gemeldeten Datenschutzverletzungen darauf zurückzuführen sind, dass personenbezogene Daten an den falschen Empfänger gesendet oder ausgegeben wurden.
Und dann dieser Elefant...
Viele Einrichtungen des Gesundheitswesens sind sich durchaus bewusst, dass sie die NEN7510 einhalten müssen. Was sie jedoch nicht wissen oder realisieren, ist, dass dies gesetzlich vorgeschrieben ist; Dekret über die elektronische Datenverarbeitung durch Gesundheitsdienstleister besagt, dass ein Gesundheitsdienstleister in der Lage sein muss, dies durch einen unabhängigen Prüfbericht nachzuweisen.
Zitat Artikel 3.4.a: Eine von der juristischen Person unabhängige Organisation hat nach einer Untersuchung festgestellt, dass die juristische Person und das von ihr verwaltete System den Bestimmungen der NEN 7510 und NEN 7512 entsprechen und hat diese Feststellung in einen von dieser Organisation im Auftrag der juristischen Person erstellten Auditbericht aufgenommen;
Die Direktoren und Verwaltungsräte wissen sehr wohl, dass wir die Vorschriften einhalten müssen, sehen dies aber als "den Elefanten" im Sitzungssaal. Außerdem denken die Direktoren oft,Dass sie dennoch sicher sindWenn man noch nie mit einem Angriff konfrontiert war, neigt man dazu, die Chancen für gering zu halten. In technischer Hinsicht haben wir ohnehin Maßnahmen ergriffen, wir haben die Mitarbeiter sensibilisiert. Aber es gibt keine wirkliche Übereinstimmung mit der NEN7510. Und das stellt ein organisatorisches, verwaltungstechnisches, aber vor allem ein soziales Risiko dar. Schließlich haben die Patienten, aber auch die Eltern von Kindern, ein fast blindes Vertrauen in den Gesundheitsdienstleister. Die nachweisliche Einhaltung der Vorschriften bleibt bei der Geschäftsführung und dem Vorstand "hängen". Wir haben etwas, aber wir haben auch nichts. Wir sehen eine Zertifizierung nicht als notwendig an. Das bedeutet noch mehr Belastung und Druck für die Organisation. Und das ist nicht nur bedauerlich, sondern auch besorgniserregend. Die Haga-Vorfall ist ein Beispiel dafür und könnte durch ein gutes ISMS verhindert werden. Es handelt sich um keine unsinnigen Maßnahmen, sondern um Maßnahmen, die in den richtigen Kontext gestellt werden und die eigenen Risiken berücksichtigen. Eine NEN7510-Zertifizierung behandelt auch NEN7512 (Datenaustausch) und NEN7513 (Protokollierung). Angesichts des blinden Vertrauens des Patienten ist es also eigentlich ethisch falsch, dass die Dinge noch nicht nachweislich in Ordnung sind. Stellen Sie sich vor, Kriminelle machen sich mit Ihren Daten davon....
In dem Moment, in dem die Dinge wirklich schief laufen, sind Sie natürlich verpflichtet, dies dem AP zu melden. Diese wird dann eine Untersuchung durchführen und prüfen, ob die NEN7510 nachweislich eingehalten wird. Die AP arbeitet in dieser Hinsicht mit der IGJ zusammen. Ein unparteiisches Audit durch eine Partei, die nachweislich über die entsprechenden Kompetenzen verfügt, ist also von entscheidender Bedeutung. Denn ein NEN7510-Audit, das von einer Partei durchgeführt wird, die nicht nachweisen kann, dass sie über die richtigen Kompetenzen verfügt, ist ein sinnloser Auditbericht. Um dies auszufüllen, landet man schnell bei einer Zertifizierungsstelle, die vom Akkreditierungsrat nach der NEN7510 bewertet und akkreditiert wurde. DigiTrust ist sowohl für das Gesundheitswesen als auch für IKT-Dienstleister für diese Art von Audits akkreditiert.
Ich hoffe aufrichtig, dass es bei allen Gesundheitsdienstleistern eine schnelle Umstellung geben wird. Die NEN7510-Zertifizierung gibt Sicherheit und Vertrauen, ist aber nur eine Betriebserlaubnis". für einen Gesundheitsdienstleister. Die Geschäftsleitung und der Verwaltungsrat sollten erkennen, dass die Sicherung von Patientendaten im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit eine Voraussetzung für eine gute Pflege ist und nicht ein "das machen wir ein anderes Mal...".
DigiTrust prüft und zertifiziert Gesundheitsdienstleister unter Akkreditierung nach NEN7510 und ISO27001.
*** DigiTrust trägt zu einer sicheren digitalen Welt bei***
